Das Risiko und die Auswirkungen von Ransomware Attacken auf Finanzdienstleister

Cyberkriminelle setzen heute immer ausgefeiltere Techniken ein, um hohe Lösegelder zu erpressen. Aufgrund ihrer sich schnell ändernden Methoden sind selbst die sicherheitsbewusstesten Institutionen gefährdet. Die Finanzdienstleistungsbranche verfügt über einige der strengsten Sicherheitsmaßnahmen, und dennoch sind große Finanzdienstleistungsunternehmen Opfer kostspieliger Angriffe geworden.

Regierungen auf der ganzen Welt verpflichten Finanzdienstleister zu hohen Sicherheitsstandards und erlassen ein Netz komplizierter Vorschriften, wie SOX, GDPR und PCI DSS, die die Cybersicherheit verbessern sollen. Um Cyberkriminelle zu stoppen und die Einhaltung dieser Vorschriften zu gewährleisten, investieren die Institute erhebliche Ressourcen in Sicherheitsmaßnahmen. Trotz dieses Schwerpunkts auf digitalen Schutzmaßnahmen finden böswillige Akteure oft einen Weg, um Netzwerke zu infiltrieren, Daten zu verschlüsseln und massives Lösegeld von Unternehmen zu fordern.

Eine aktuelle Studie zeigt die massiven Auswirkungen von Ransomware auf diesen Sektor. Im Jahr 2021 gaben Finanzdienstleistungsunternehmen im Durchschnitt über 2 Millionen US-Dollar für die Reaktion auf Ransomware-Vorfälle aus. Diese Zahl umfasst sowohl die Ausgaben für das tatsächliche Lösegeld als auch die Kosten, die durch die damit verbundenen Unterbrechungen entstehen.

Was macht den Finanzsektor zu einem Top-Ziel für Ransomware-Angriffe

Obwohl Cyberangriffe in allen Branchen vorkommen, ist der Finanzsektor aus drei Gründen ein besonders attraktives Ziel für Cyberkriminelle.

1. Große potenzielle Auszahlungen

Finanzinstitute sammeln große Mengen an Informationen über Kunden, Partner und Mitarbeiter. Diese sensiblen Daten machen Finanzdienstleistungsunternehmen zu idealen Zielen für Doppelerpressungsangriffe. Bei diesen Angriffen stehlen die Angreifer zunächst Daten und verschlüsseln dann wichtige Systeme. Anschließend drohen sie mit der Freigabe der Daten, um das Unternehmen zur Zahlung eines Lösegelds zu zwingen. Diese doppelte Erpressungstechnik erhöht die Wahrscheinlichkeit einer hohen Auszahlung. Unternehmen sind eher bereit, das Lösegeld zu zahlen, da die Freigabe der gestohlenen Daten das Vertrauen in ihre Marke untergraben und ihren Ruf schwer schädigen könnte.

2. Erhöhte Angriffsfläche

Da die Technologie immer effizienter wird, digitalisieren die Finanzunternehmen immer mehr ihrer Abläufe. Fortschritte in den Bereichen künstliche Intelligenz, Datenanalyse und Cloud-Technologie haben digitale Transaktionen zu einer wesentlich effizienteren Art der Geschäftsabwicklung gemacht. Diese Art der Optimierung verbessert zwar die alltäglichen Abläufe eines Unternehmens, bietet aber auch Cyberkriminellen eine größere Angriffsfläche, die sie ausnutzen können.

Im Interesse eines besseren Kundenerlebnisses arbeiten die Institute mit Drittanbietern zusammen, sammeln mehr Daten und entwickeln neue digitale Systeme. All dies verkompliziert das Netzwerk von Daten und Kommunikation. Die heutigen Cyberkriminellen müssen ihr Hauptziel nicht mehr direkt angreifen. Indem sie eine Schwachstelle bei einem Drittanbieter ausnutzen, können sich die Angreifer einen Umweg über das Netzwerk eines größeren Zielinstituts bahnen.

3. Die Herausforderung, digitale Vermögenswerte zu sichern

Die Verwaltung und Sicherung digitaler Bestände ist eine komplexe Aufgabe. Die meisten bestehenden Systeme sind nicht nur äußerst kompliziert, sondern entwickeln sich auch rasant weiter, so dass die Unternehmen gezwungen sind, mit den richtigen Überwachungs- und Verwaltungstechnologien und -protokollen auf dem Laufenden zu bleiben. Selbst die erfahrensten Fachleute müssen ständig geschult werden, um mit der neuesten digitalen Landschaft und den verwendeten Systemen Schritt zu halten und neuen und sich entwickelnden Bedrohungen einen Schritt voraus zu sein.

Bedeutende Ransomware-Angriffe auf den Finanzsektor

In den letzten Jahren wurden mehrere hochrangige Institutionen Opfer von Angriffen, obwohl sie die behördlichen Vorschriften einhielten und stark in die Cybersicherheit investierten.

AvosLocker-Angriff auf den kommunalen Bankdienstleister Pacific City Bank

Ein Ransomware-Angriff auf die Pacific City Bank (PCB), einen der führenden koreanisch-amerikanischen Finanzdienstleister in den USA, im Jahr 2021 verdeutlicht die Herausforderungen beim Schutz sensibler Daten. AvosLocker, eine Gruppe, die relativ neu in der Cyberlandschaft ist, beansprucht die Lorbeeren für den Sicherheitsverstoß. Die Angreifer konzentrieren sich auf die Deaktivierung von Sicherheitslösungen für Endgeräte, indem sie kompromittierte Systeme im abgesicherten Modus von Windows neu starten. Diese Methode ermöglicht es ihnen, die Dateien der Opfer leichter zu verschlüsseln, da die meisten Sicherheitslösungen automatisch deaktiviert werden, wenn Windows-Geräte im abgesicherten Modus starten.

Als die Gruppe die Pacific City Bank ins Visier nahm, gelang es ihr, Kreditantragsformulare, Steuererklärungsdokumente, W-2-Informationen von Kundenfirmen, Lohn- und Gehaltsabrechnungen von Kundenfirmen, vollständige Namen, Adressen, Sozialversicherungsnummern, Lohn- und Steuerdetails zu erlangen. Pacific City reagierte, indem es alle seine Kunden über den Einbruch informierte. Allen, deren Daten betroffen sein könnten, wurde geraten, ihre persönlichen Finanzen auf mögliche Betrugsfälle zu überwachen.

Sodinokibi (REvil) Angriff auf das Devisenunternehmen Travelex

Sodinokibi, auch bekannt als "REvil", ist ein Ransomware-as-a-Service-Modell (RaaS), das auf Windows-Systeme abzielt, um wichtige Dateien zu verschlüsseln. Die Gruppe nutzt mehrere Infektionsvektoren, darunter die Ausnutzung bekannter Sicherheitslücken und gezielte Phishing-Kampagnen.

Im Fall von Travelex, einem großen Devisenhandelsunternehmen, das mehr als 5.000 Transaktionen pro Stunde abwickelt, dauerte es mehrere Monate, bis das Unternehmen kritische Sicherheitslücken in seinem Pulse Secure VPN-Server schloss. Travelex verfügte über sieben ungesicherte Pulse Secure-Server, wartete aber acht Monate nach dem Bekanntwerden der Schwachstelle mit der Behebung der Probleme. Dieser Mangel an Dringlichkeit gab der Sodinokibi-Gruppe die Möglichkeit zum Angriff.

Die Folgen des Angriffs waren weitreichend: Travelex-Websites in mindestens 20 Ländern gingen offline, Mitarbeiter in vielen Einzelhandelsgeschäften mussten Aufgaben manuell erledigen, globale Bankpartner wie Barclays, First Direct, HSBC, Sainsbury's Bank, Tesco und Virgin Money hatten keine Möglichkeit, Devisen zu kaufen oder zu verkaufen. Außerdem verlangten die Angreifer für die Rückgabe der 5 GB erfolgreich exfiltrierter sensibler Kundendaten 6 Millionen Dollar.

Conti-Angriff auf die Bank Indonesia

Ein kürzlich erfolgter Angriff auf die indonesische Zentralbank hat gezeigt, dass staatliche Einrichtungen genauso ins Visier genommen werden wie ihre privatwirtschaftlichen Pendants. Conti, eine Ransomware-as-a-Service, die sich hauptsächlich über TrickBot-Infektionen verbreitet, stahl nach eigenen Angaben Dateien im Wert von rund 14 GB von der indonesischen Zentralbank. Conti nutzt auch eine Vielzahl von Angriffsvektoren, darunter falsch konfiguriertes oder schlecht geschütztes RDP, gekaufte oder gestohlene Zugangsdaten oder neu veröffentlichte kritische Schwachstellen.

Indonesische Beamte haben berichtet, dass es den Kriminellen nicht gelungen ist, auf einen Großteil der internen Daten der Bank zuzugreifen, was sie auf vorausschauende Maßnahmen zurückführten. Die Angreifer drohten jedoch damit, die Dokumente im Wert von 14 GB zu veröffentlichen, falls die Bank das Lösegeld nicht zahlen würde.

Wie Finanzinstitute Ransomware-Angriffe verhindern können

Die beträchtlichen potenziellen Auszahlungen, die immer größer werdende Angriffsfläche und die Herausforderung, digitale Werte zu schützen, machen Finanzdienstleistungsinstitute zu bevorzugten Zielen für Cyberkriminelle. Nachdem erst in den letzten Monaten mehrere namhafte Organisationen Opfer von Angriffen geworden sind, ist kein Unternehmen vor dieser Bedrohung sicher. Finanzdienstleister sollten praktische Maßnahmen ergreifen, um die Wahrscheinlichkeit eines Angriffs zu verringern. Ein wirksamer Cybersicherheitsansatz sollte zwei Hauptkomponenten umfassen:

• Kontinuierliche Mitarbeiterschulung
• Maschinenintelligente E-Mail-Sicherheitssysteme

Mit einem umfassenden, zweigleisigen Ansatz können Finanzdienstleistungsunternehmen ihre Abwehrkräfte besser stärken.

Investitionen in die kontinuierliche Schulung des Sicherheitsbewusstseins der Mitarbeiter

Um nicht Opfer von E-Mail-Angriffen zu werden, müssen die Mitarbeiter wissen, worauf sie achten müssen. Während eine einzige Sensibilisierungssitzung einen Grundstock an allgemeinen Informationen liefern kann, ist eine kontinuierliche Schulung erforderlich, um alle Mitarbeiter über die neuesten Bedrohungen auf dem Laufenden zu halten. Regelmäßige Schulungen können die Belegschaft eines Unternehmens zu einer wichtigen Verteidigungslinie gegen cyberkriminelle Aktivitäten machen.

Die Mitarbeiter werden sich befähigt fühlen, bösartige E-Mails zu erkennen und Vorfälle an das Cybersicherheitsteam zu melden. Wenn eine betrügerische E-Mail ihren Posteingang erreicht, werden sie die verräterischen Anzeichen des Angriffs so gut wie möglich erkennen. Die Schulung schützt nicht nur vor potenziellen E-Mail-Bedrohungen, sondern verbessert auch die Moral und das Engagement der Mitarbeiter.

Einführung von intelligenten E-Mail-Sicherheitslösungen

Die meisten Cyberkriminellen nutzen E-Mails, um in das Netzwerk eines Unternehmens einzudringen, Daten zu verschlüsseln und Lösegeld zu fordern. Die Kombination aus menschlichem Versagen und unzureichender E-Mail-Technologie bietet ihnen ein potenzielles Zeitfenster, das sie ausnutzen können. Durch den Einsatz maschinenintelligenter Programme zur Kennzeichnung und Blockierung verdächtiger E-Mails können Finanzdienstleister diesen wichtigen Bereich der Verwundbarkeit erheblich stärken.

Maschinenintelligente Systeme verstehen den lokalen Kontext, die Kommunikationsbeziehungen und das Verhalten innerhalb einer Organisation und nutzen dieses Verständnis, um Korrespondenz zu erkennen und zu stoppen, die nicht den typischen Normen des Kommunikationsverhaltens entspricht. Im Gegensatz zu herkömmlichen E-Mail-Sicherheitslösungen sind sie in der Lage, fortschrittliche Bedrohungen wie Zero-Day-Bedrohungen zu verhindern und Unternehmen vor Datenverlust, Störungen und anderen Schäden durch Ransomware-Angriffe zu schützen.

Um zu erfahren, wie die maschinenintelligente Software von xorlab Ihr Unternehmen vor Ransomware-Angriffen schützen kann, fordern Sie noch heute eine Demo an.